注入漏洞降至第三位。94%的应用程序在某种形式的注入测试中被检测，其中最大发生率为19%，平均发生率为3%，总发生次数为27.4万次。

身份验证机制容易成为攻击者的目标，因为它对所有人开放。虽然有些身份验证问题可能需要更高级的技术技能来利用，但一般来说，利用工具是可用的。

在过去几年中，这种攻击是最常见的严重攻击。最常见的缺陷是没有对敏感数据进行加密。当使用加密时，常见的问题包括密钥生成和管理不当，以及使用了弱的算法、协议和加密算法，尤其是在密码哈希存储技术上。对于传输中的数据，服务器端的弱点主要容易被发现，但对于静态数据来说则较难检测。

默认情况下，许多旧版 XML 处理器允许指定外部实体，这是一种在 XML 处理过程中被解引用并评估的 URI。

访问控制漏洞很常见，原因包括自动化检测的不足以及应用开发者缺乏有效的功能测试。

安全配置错误可能发生在应用栈的任何层级，包括网络服务、平台、网络服务器、应用服务器、数据库、框架、自定义代码以及预安装的虚拟机、容器或存储。 

跨站脚本（XSS）是OWASP十大漏洞中的第二大常见问题，约三分之二的应用程序中存在这一问题。

这个问题被列入前十名是基于 行业调查 而非可量化的数据。
一些工具可以发现反序列化漏洞，但通常需要人工协助来验证问题。

这一问题的普遍性非常广泛。依赖大量组件的开发模式可能导致开发团队甚至不知道他们在应用程序或API中使用了哪些组件，更不用说及时更新这些组件了。

不足的日志记录和监控几乎是每一个重大安全事件的根源。
攻击者依赖于缺乏监控和及时响应来实现他们的目标，而不被发现。